Kort opsummering
EDPBs retningslinjer, kort fortalt
Den 4. maj 2020 vedtog Databeskyttelsesrådet (EDPB) nogle retningslinjer i forhold til GDPR-compliance, der tydeliggør, hvad der ses som gyldigt samtykke for behandling af persondata i EU, og bekræfter, at ”cookie walls” er en ulovlig måde at indsamle samtykke på.
På grund af disse retningslinjer er det nu slået fast, hvordan GDPR skal anvendes. Flere nationale databeskyttelsesmyndigheder (DPA’er) benytter allerede retningslinjerne, og har blandt andet taget dem i brug, da der skulle dømmes i sagen om CJEU Planet49. Da EDPBs retningslinjer dikterer, hvordan hver enkelt medlemsstats DPA skal håndhæve GDPR, er det vigtigt at forholde sig til dem.
Læs EDPBs retningslinjer 05/2020 om gyldigt samtykke her.
Test om din hjemmeside er compliant med EDPBs retningslinjer og GDPR, helt gratis.
Prøv Cookiebot CMP gratis i 14 dage… eller for evigt, hvis du har en mindre hjemmeside
EDPBs retningslinjer for gyldigt samtykke
For at et samtykke er helt gyldigt, ifølge GDPR, skal det være:
- Frit givet
- Specifikt
- Informeret
- Utvetydigt
EDPB gør det klart i deres retningslinjer at ”en utvetydig viljestilkendegivelse fra brugeren” skal gives som en klar og bekræftende handling.
Scrolling, browsning eller lignende aktiviteter på en hjemmeside (også kendt som indirekte samtykke) anses ikke som gyldigt samtykke ifølge GDPR.
Med EDPB-retningslinjerne betyder dette, at dit cookiebanner ikke må skrive, at fortsat scrolling eller browsing på domænet ses som samtykke til, at brugernes persondata bliver behandlet af cookies, da dette ikke er en gyldig form for samtykke i GDPR.
I stedet skal din hjemmesides cookiebanner være interaktivt, og hjemmesiden skal tilbageholde aktiveringen af alle cookies, der samler persondata, indtil brugeren har valgt hvilke cookiekategorier, de vil have aktiveret (kendt som forudgående samtykke).
EDPB-retningslinjerne gør det også tydeligt, at brugen af forud-afkrydsede tilvalgsbokse ikke er GDPR-compliant, da det heller ikke lever op til kravet om ”en klar og bekræftende handling”.
Her komplementerer EDPB-retningslinjerne den juridiske præcedens fra Den Europæiske Unions Domstol (CJEU) i tilfældet med Planet49-sagen fra oktober 2019.
EU-domstolen afgjorde, at forud-afkrydsede felter på cookiebannere ikke er tilladte, da de ikke lever op til kravet om et frit givet samtykke som en bekræftende handling.
Lær mere om CJEU og Planet49-sagen
Prøv Cookiebot CMP by Usercentrics gratis i dag… eller for evigt, hvis du har en mindre hjemmeside
EDPB-retningslinjerne om cookie walls
EDPBs retningslinjer gør det tydeligt, at en ”cookie wall” er en non-compliant måde for en hjemmeside at indhente samtykke.
Cookie walls fungerer på den måde, at de gør adgangen til hjemmesider betinget, således at brugerne skal give hjemmesiden deres samtykke til at behandle deres persondata for at kunne bruge siden. Det strider klart imod EDPB-retningslinjernes regler for et gyldigt samtykke.
Eftersom en cookie wall opererer ved at tvinge samtykket fra brugerne til at gemme cookies eller at få adgang til allerede gemte cookies i bytte med adgang til sidens funktioner og tjenester, lever cookie walls’ måde at indsamle samtykke på ikke op til GDPR-kravet om at et gyldigt samtykke er frit givet baseret på et oprigtigt valg.
Vil du vide mere om cookie walls?
Hvad betyder EDPBs retningslinjer for min hjemmeside?
EDPB-retningslinjerne cementerer det, som hele tiden har været hensigten med GDPR: at bemyndige brugerne med ægte, gennemtvingelige rettigheder over deres egne data og privatliv.
EDPB tydeliggør i deres retningslinjer om samtykke, at ethvert forsøg på at undgå at give brugerne reel magt over deres egne personoplysninger (ved for eksempel at tvinge samtykket eller at være afhængig af dårlig information om indirekte samtykke) ikke vil blive tolereret.
Med andre ord, din hjemmeside har ikke lov til at aktivere nogen form for cookies, der behandler persondata, uden at brugeren har givet deres klare og bekræftende samtykke til det.
For din hjemmeside, betyder det –
- Ingen forud-afkrydsede felter på dit cookiebanner
- Scrolling og fortsat browsing er ikke en gyldig form for samtykke
- Cookie walls er en non-compliant måde at indhente samtykke på
Hvis din hjemmeside bruger en samtykkeløsning, der aktiverer cookies på basis af fortsat scrolling, klikken eller browsing på din side (dvs. enhver anden aktivitet end en direkte, eksplicit interaktion med samtykkebanneret), bruger forud-afkrydsede felter eller cookie walls, skal du ændre det.
EDPB-retningslinjerne danner grundlaget for alle håndhævelser af GDPR på det nationale niveau af de respektive databeskyttelsesmyndigheder i hver EU-medlemsstat. Så hvis din hjemmeside drives fra et EU-land eller hvis din hjemmeside behandler persondata fra individer fra et EU-land, skal du være i compliance med EDPBs retningslinjer for GDPR-compliance.
EDPBs retningslinjer og GDPR-compliance test
Er du ikke sikker på, om din hjemmeside lever op til GDPRs krav til lovlig brug af cookies og sporingsenheder? Er du i tvivl om dit domæne møder EDPBs retningslinjer for gyldigt samtykke?
Cookiebot CMP by Usercentrics laver en gratis skanning af din hjemmeside og finder alle aktive cookies og sporingsenheder på dit domæne.
Det kan ske, at du finder ud af, at din hjemmeside bruger mange flere cookies, end du havde regnet med, eftersom –
72% af cookies sættes hemmeligt af andre tredjepartsporingsenheder, hvilket gør dem næsten umulige at finde uden en dybdegående skanningsteknologi..
18% af cookies loades i op til otte andre cookies.
50% af de skjulte cookies vil forandre sig mellem besøg, så brugerne risikerer at deres persondata bliver hentet af forskellige tredjeparter på din hjemmeside, hver gang de besøger din hjemmeside.
Kilde: Beyond the Front Page, en undersøgelse af hjemmesiders cookies fra 2020.
Test din hjemmesides GDPR- og EDPB-compliance gratis i dag
Lær mere om GDPR og cookiesamtykke
Prøv Cookiebot CMP gratis i dag
Cookiebot CMP by Usercentrics og EDPB-retningslinjerne
Cookiebot CMP by Usercentricser den førende consent mangagement platform i verden og gør din hjemmeside compliant med alle verdens databeksyttelseslove.
Cookiebot CMPs løsning er plug-and-play. Det betyder, at det ikke er nødvendigt med manuel implementering eller on-site integration med dit domæne.
For at beskytte dine brugeres privatliv fra tredjeparters datamisbrug kan du let installere Cookiebot CMP direkte fra skyen.
Cookiebot CMP by Usercentrics laver dybdegående skanninger af hele din hjemmeside for at finde alle aktive cookies og sporingsenheder – selv dem, der gemmer sig som trojanske heste – og blokerer automatisk alt, indtil dine brugere har givet deres forudgående samtykke, i komplet compliance med GDPR.
Cookiebot CMPs samtykkeløsning er i fuld compliance med EDPBs retningslinjer for gyldigt samtykke:
- Auto-blokering af alle cookies og sporingsenheder indtil forudgående samtykke er opnået
- Et granuleret, bekræftende valg af samtykke til fire cookiekategorier
- En komplet cookie-deklaration med information om udbyderen, formålet, varigheden og typen af hver cookie
- En nem måde for brugerne at ændre deres samtykke eller trække det tilbage
- Sikker lagring af brugernes samtykke
- Automatisk fornyelse af samtykket
Prøv Cookiebot CMP by Usercentrics gratis i 14 dage… eller for evigt, hvis du har en mindre hjemmeside.
EDPB-retningslinjerne i detaljer
EDPBs retningslinjer 05/2020 om gyldigt samtykke er et detaljeret 36-siders dokument, der blev vedtaget d. 4. maj 2020.
I resten af denne artikel vil vi se nærmere på hver af de vigtigste dele af EDPB-retningslinjerne, der gør det klart hvad der ses som gyldigt samtykke i GDPR:
- Frit givet samtykke
- Betingelser for samtykke
- Granuleret samtykke
- Specifikt samtykke
- Informeret samtykke
- Tilbagetrækning af samtykke
- Yderligere betingelser for at indhente gyldigt samtykke
- De registreredes rettigheder
Læs det fulde dokument over EDPBs retningslinjer her.
Hvem er EDPB?
Det Europæiske Databeskyttelsesråd (EDPB) er den ledende databeskyttelsesmyndighed i EU og er ansvarlige for den gennemgående håndhævelse og anvendelse af Databeskyttelsesforordningen (GDPR) i EU.
EDPB blev dannet, da GDPR blev vedtaget som lov i 2018, og består af repræsentanter fra hver databeskyttelsesmyndighed (DPA) i EU-medlemslandene.
EDPBs job består af at vedtage generelle retningslinjer og tage beslutninger, der gør det tydeligt, hvordan GDPR skal fortolkes af hjemmesider, virksomheder og organisationer, for at disse er i fuld compliance med loven.
EDPBs retningslinjer og beslutninger er grundstenen i håndhævelsen af GDPR i EU-medlemslandene, hvor hver enkelt DPA er ansvarlig for GDPRs anvendelse.
Frit givet samtykke
Når brugernes samtykke til aktivering af cookies og behandling af persondata skal indsamles, skal din hjemmeside sørge for at samtykket er frit givet – en af byggestenene for gyldigt samtykke i GDPR.
Hvis en bruger ikke har et reelt valg, føler sig presset til at give sit samtykke eller kommer til at lide negative konsekvenser, hvis de ikke giver deres samtykke (såsom lavere funktionsevne på siden eller nægtes adgang), er samtykket ikke gyldigt.
Din hjemmeside må ikke sammensætte samtykke, dvs. at samtykket vises som en ikke-forhandlingsbar del af sidens betingelser. Hvis det er tilfældet, anses samtykket ikke som værende frit givet.
På samme måde anses samtykket ikke som værende gyldigt, hvis brugeren ikke kan sige nej til cookies eller trække deres samtykke tilbage uden konsekvenser (såsom lavere funktionsdygtighed eller nægtes adgang til siden).
Betingelse af samtykke
Som det kort nævnes ovenfor, er det ikke compliant at sætte samtykket sammen med betingelserne for hjemmesiden, hvilket også gøres klart af EDPB.
At gøre samtykket betinget, for eksempel gennem accept af sidens vilkår og betingelser eller gennem tjenestens ydelse, selvom behandlingen af persondata gennem cookies og sporingsenheder ikke er nødvendig, anses for at være en ugyldig form for samtykke.
GDPR har seks juridiske baser for behandling af persondata. Den første er med samtykke fra brugeren og den anden er til opfyldelsen af en kontrakt.
EDPBs retningslinjer gør det klart, at disse to juridiske baser ikke kan blive fusioneret eller ses bort fra, dvs. hvis din hjemmeside er afhængig af brugernes samtykke til cookies og sporingsenheder, kan deres samtykke ikke være en betingelse for at se eller bruge en ydelse, der ikke har brug for persondata for at fungere (se GDPR artikel 7.4, for mere information om dette).
Denne del af EDPB-retningslinjerne sletter derfor al grundlag for brugen af cookie walls som en compliant måde at indsamle samtykke på, da et tvunget samtykke ikke er frit givet (læs: gyldigt).
EDPBs retningslinjer skriver klart og tydeligt, at tvang til at give samtykke til ikke-nødvendig persondataindsamling står i vejen for det frie samtykke.
Granuleret samtykke
De fleste hjemmesider har mange forskellige cookies i drift, som samler forskellige data til forskellige formål og forskellige udbydere.
Hvis din hjemmeside behandler persondata til mere end et formål, skal brugerne frit kunne vælge hvilke formål, de vil give tilladelse til deres data bliver indsamlet til, og ikke bare et sammensat bundt af behandlingsformål. Det gøres også klart i EDPBs retningslinjer.
Det betyder, at du skal kende alle din hjemmesides cookies samt deres forskellige formål og give dine brugere mulighed for at tilvælge aktiveringen af nogle cookies frem for andre – det kaldes også granuleret samtykke.
Specifikt samtykke
Ifølge EDPB-retningslinjerne skal gyldigt samtykke være specifikt, dvs. en klar bestemmelse af et specifikt, eksplicit og legitimt formål med den påtænkte behandling af personoplysningerne.
For at følge GDPR-kravene for et specifikt samtykke, skal din hjemmeside sikre –
- Formålsspecificering som en beskyttelse mod funktionsskred (dvs. at persondata bliver brugt til flere formål uden brugerne har givet et specifikt samtykke til hvert formål)
- Granularitet i anmodningerne om samtykke
- Klar adskillelse af oplysninger om indhentning af samtykke til databehandlingsaktiviteter og oplysninger om andre emner.
Informeret samtykke
EDPB-retningslinjerne gør det klart, at gyldigt samtykke skal være informeret, dvs. brugerne skal vide og forstå, hvad de giver samtykke til.
Du skal informere om følgende, for at din hjemmeside kan leve op til minimumskravene for et informeret samtykke –
- Dig og din hjemmesides identitet
- Formålet for hver enkelt behandling, du spørger om samtykke til på din side
- Hvilken type data, der vil blive indsamlet og brugt på din hjemmeside
- At brugeren har retten til at trække deres samtykke tilbage
- Information om brugen af data til automatisk beslutningstagning
- Den mulige risiko for dataoverførsel grundet fraværet af en tilstrækkelighedsafgørelse og passende sikkerhedsforanstaltninger som beskrevet i Artikel 46.
Den information, du giver dine brugere, skal skrives i et klart og forståeligt sprog, for at det let kan læses af en almindelig person (og ikke bare advokater).
Tilbagetrækning af samtykke
Hvis din hjemmeside afhænger af samtykke til behandling af persondata gennem brugen af cookies og sporingsenheder, skal du være forberedt på at respektere brugernes valg om at trække deres samtykke tilbage. Det er et af kravene i GDPR.
Brugerne skal have mulighed for at trække deres samtykke tilbage lige så let, som de gav det. Det er faktisk en af betingelserne for gyldigheden af samtykket, at brugerne har lige så let ved at give samtykket, som de har ved at trække det tilbage bagefter.
Brugere skal have mulighed for at trække deres samtykke tilbage helt frit og uden konsekvenser, såsom at få frataget deres adgang til hjemmesiden eller opleve et lavere udbud af tjenester på siden.
Al behandling af persondata skal finde sted efter brugeren har givet deres samtykke, og før de trækker det tilbage, før samtykket er lovligt.
Yderligere betingelser for indsamling af gyldigt samtykke
Byrden om at bevise den lovlige behandling af brugernes persondata med deres samtykke er hjemmesideejerens og/eller -operatørens.
Det betyder, at du skal kunne vise, at brugeren har givet samtykke til din hjemmesides cookies og sporingsenheder. Dokumentationen af samtykket skal opbevares sikkert.
Databeskyttelsesrådet anbefaler, at den bedste praksis er at forny samtykket i passende intervaller.
Den registreredes rettigheder
Til sidst, husk at dine brugeres rettigheder er sikret i GDPR, og at du altid skal respektere disse for at være i compliance.
Rettighederne er –
- Retten til at få slettet alt indsamlet og gemt persondata, når samtykket er trukket tilbage
- Retten til begrænsning
- Retten til berigtigelse
- Retten til adgang
- Ret til dataportabilitet
Cookiebot CMP og GDPR-compliance
Cookiebots consent management platform (CMP) tager sig af alle de krav din hjemmeside skal møde for at være i compliance med GDPR.
Cookiebot CMP by Usercentrics –
- Skanner og finder alle cookies og sporingsteknologier på din side, selv de skjulte cookies
- Blokerer automatisk alle cookies, indtil brugeren har givet deres specifikke, granulerede samtykke
- Dokumenterer og lagrer sikkert hvert indsamlet samtykke
- Fornyer automatisk samtykket.
Se Cookiebot CMP by Usercentrics’ funktioner
Se Cookiebot CMP by Usercentrics’ priser
Tag Cookiebot CMPs gratis compliance-test
Prøv Cookiebot CMP by Usercentrics gratis i dag
Ofte stillede spørgsmål
Hvad er EDPB?
Det Europæiske Databeskyttelsesråd (EDPB) er den højeste tilsynsmyndighed i EU, med ansvaret for anvendelsen og håndhævelsen af Databeskyttelsesforordningen (GDPR). EDPB består af repræsentanter fra hvert EU-lands databeskyttelesmyndighed. Rådets hovedfunktion er at vedtage generelle retningslinjer og tage beslutninger vedrørende GDPRs fortolkning og håndhævelse.
Prøv Cookiebot CMP by Usercentrics gratis i 14 dage… eller for evigt, hvis du har en mindre hjemmeside
Hvad står der i EDPBs retningslinjer?
EDPBs retningslinjer for gyldigt samtykke fra maj 2020, gør det tydeligt hvad anses som gyldigt samtykke, når en hjemmeside er afhængig af brugersamtykke for at behandle persondata, f.eks. gennem brug af cookies og sporingsenheder på en side. EDPBs retningslinjer bestemmer at brugen af cookie walls (tvunget samtykke) er ulovlig og specificerer yderligere hvad hjemmesider skal gøre for at opnå gyldigt samtykke til behandling af persondata.
Test din hjemmesides compliance med den gratis Cookiebot CMP GDPR-compliance test
Hvad er gyldigt samtykke ifølge EDPB?
EDPB-retningslinjer 05/2020 tydeliggør at et gyldigt samtykke er en frit given, informeret, specifik og utvetydig indikation af brugerens ønsker. Det betyder, at din hjemmeside skal give brugerne et reelt valg af samtykke til alle de forskellige cookies og sporingsenheder, der findes på din side, før disse bliver aktiverede og begynder at behandle deres data. Scrolling og fortsat browsing på hjemmesiden er ikke en gyldig form for samtykke, og cookiebannere må ikke have forud-afkrydsede felter.
Lær mere om GDPR-compliance med Cookiebot CMP by Usercentrics
Hvordan bliver min hjemmeside GDPR-compliant?
Først skal du kende alle cookies og sporingsenheder, der er til stede på din hjemmeside, så du kan informere dine brugere om cookiekategorierne, deres formål, varighed og udbyder. Derefter skal du blokere alle cookies (undtagen nødvendige cookies) indtil brugerne har givet deres klare og bekræftende samtykke til de af dem, de vil have aktiveret. Som det tredje skal du dokumentere alle samtykker sikkert og forny dem årligt. Til sidst skal du gøre det nemt for brugeren at trække deres samtykke tilbage. Det skal være lige så let som det var for dem at give samtykket.
Kilder
Det Europæiske Databeskyttelsesråd (EDPB)
EDPBs retningslinjer 05/2020 for gyldigt samtykke
Beyond the Front Page, en undersøgelse fra 2020 om cookies og sporing på hjemmesider (engelsk)